■本案例选自:国家金融监管总局网站
■案例集:《金融消费者权益保护典型案例》-28个
■解析:合规社
典型案例
——金融机构未严格落实消费者金融信息使用管理制度导致客户信息泄露
2022年,人民银行发现A银行B分行和C银行D信用卡分中心存在个别员工涉嫌非法贩卖金融消费者账户信息的情形后,迅速对涉事银行启动立案调查。调查发现,A银行B分行和C银行D信用卡分中心未严格有效落实消费者金融信息保护相关法律法规和内控制度,业务系统权限设置不合理,导致涉案员工得以利用职务便利,在未经授权审批且没有合法、正当事由的情况下,通过银行主要业务系统私自查询、记录客户个人信息,并将相关信息对外贩卖。同时,涉事银行日常消费者金融信息保护排查、风险监测、教育培训工作不到位,在发生上述重大事件时亦未及时向当地金融监管部门报告。
人民银行相关分支机构依法对A银行B分行和C银行D信用卡分中心给予警告并处以罚款,对其中负有直接责任的管理人员给予个人处罚,责令相关银行积极落实整改并进行全面自查。
监管提示:本案中,相关涉案员工因为贩卖客户信息而触犯刑法,并被以侵犯公民个人信息罪判刑。
同时,根据《中国人民银行金融消费者权益保护实施办法》(中国人民银行令〔2020〕第5号)第三十三条“银行、支付机构应当建立以分级授权为核心的消费者金融信息使用管理制度,根据消费者金融信息的重要性、敏感度及业务开展需要,在不影响本机构履行反洗钱等法定义务的前提下,合理确定本机构工作人员调取信息的范围、权限,严格落实信息使用授权审批程序”的规定,A银行B分行和C银行D信用卡分中心未能合理设置系统权限,严格落实信息使用授权审批程序,致使发生个别员工非法查询并贩卖消费者金融信息的情形,侵害了金融消费者信息安全权,应当依据《中国人民银行金融消费者权益保护实施办法》(中国人民银行令〔2020〕第5号)第六十条第(五)项、《中华人民共和国消费者权益保护法》第五十六条第一款第(九)项进行处罚。
金融机构应当完善消费者金融信息保护制度和机制,健全完善以分级授权为核心的消费者金融信息使用管理制度,综合考虑消费者金融信息的重要性、敏感度及业务开展需要,合理确定工作人员调取信息的范围、权限,严格落实信息使用授权审批程序。
应当不断强化人员管理和教育,对接触消费者金融信息的岗位人员,全面开展员工业务培训和警示教育工作,培养消费者金融信息安全红线“不能碰、不想碰”的底线思维。应当加大对辖属机构网点消费者金融信息保护管理规定落实情况的监督检查力度,开展专项排查整治,杜绝此类问题再次发生。
相关法条:
《中国人民银行金融消费者权益保护实施办法》第六十条
银行、支付机构有下列情形之一,侵害消费者金融信息依法得到保护的权利的,中国人民银行或其分支机构应当在职责范围内依照《中华人民共和国消费者权益保护法》第五十六条的规定予以处罚:
(一)未经金融消费者明示同意,收集、使用其金融信息的。
(二)收集与业务无关的消费者金融信息,或者采取不正当方式收集消费者金融信息的。
(三)未公开收集、使用消费者金融信息的规则,未明示收集、使用消费者金融信息的目的、方式和范围的。
(四)超出法律法规规定和双方约定的用途使用消费者金融信息的。
(五)未建立以分级授权为核心的消费者金融信息使用管理制度,或者未严格落实信息使用授权审批程序的。
(六)未采取技术措施和其他必要措施,导致消费者金融信息遗失、毁损、泄露或者被篡改,或者非法向他人提供的。
《中华人民共和国消费者权益保护法》第五十六条
第五十六条【经营者的行政责任】经营者有下列情形之一,除承担相应的民事责任外,其他有关法律、法规对处罚机关和处罚方式有规定的,依照法律、法规的规定执行;法律、法规未作规定的,由工商行政管理部门或者其他有关行政部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款,没有违法所得的,处以五十万元以下的罚款;情节严重的,责令停业整顿、吊销营业执照:
(一)提供的商品或者服务不符合保障人身、财产安全要求的;
(二)在商品中掺杂、掺假,以假充真,以次充好,或者以不合格商品冒充合格商品的;
(三)生产国家明令淘汰的商品或者销售失效、变质的商品的;
(四)伪造商品的产地,伪造或者冒用他人的厂名、厂址,篡改生产日期,伪造或者冒用认证标志等质量标志的;
(五)销售的商品应当检验、检疫而未检验、检疫或者伪造检验、检疫结果的;
(六)对商品或者服务作虚假或者引人误解的宣传的;
(七)拒绝或者拖延有关行政部门责令对缺陷商品或者服务采取停止销售、警示、召回、无害化处理、销毁、停止生产或者服务等措施的;
(八)对消费者提出的修理、重作、更换、退货、补足商品数量、退还货款和服务费用或者赔偿损失的要求,故意拖延或者无理拒绝的;
(九)侵害消费者人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的;
(十)法律、法规规定的对损害消费者权益应当予以处罚的其他情形。
经营者有前款规定情形的,除依照法律、法规规定予以处罚外,处罚机关应当记入信用档案,向社会公布。
